Новости

Компания Spamhaus сообщила о прекращении работы бот-сети Virut

23.01.2013
Компания Spamhaus сообщила о прекращении работы бот-сети Virut

19.01.2013 компания Spamhaus сообщила о прекращении работы бот-сети, построенной на основе вредоносного ПО Virut. 

Virut - сетевой червь, распространяющийся посредством съемных носителей (например, USB накопителей) и сетевых ресурсов, но, вместе с тем, обладающей способностью к заражению файлов для собственного распространения. Согласно данным компании, размер бот-сети достигал 300 тыс. зараженных компьютеров. Для их управления злоумышленники использовали несколько десятков доменов преимущественно в доменных зонах .pl (Польша), .ru (Россия) и .at (Австрия).

По словам эксперта компании, попытки прекратить действие данной бот-сети предпринимались и ранее. Так, в декабре 2012 года компания Spamhaus совместно с группой реагирования на компьютерные инциденты Польши (CERT.pl) пыталась заблокировать доменные имена управляющих серверов бот-сети, расположенных в доменной зоне .pl,  однако злоумышленники перенесли их на сервера другого провайдера home.pl.

17.01.2013 благодаря совместным действиям компании Spamhaus, CERT.pl и провайдера home.pl удалось получить доступ и заблокировать большинства управляющих серверов бот-сети. Кроме того, при поддержке Spamhaus российская компания Group-IB прекратила деятельность вредоносных доменов в своей доменной зоне.

=======================================

Компанией Spamhaus - компанией занимающейся борьбой со спамом, на прошлой неделе было деактивировано множество доменов, с которых происходило заражение компьютеров вредоносным ПО Virut. 


Virut - вредоносное ПО, распространяющееся путем инфицирования исполняемых файлов и копирования себя на диски, доступные зараженному компьютеру. Некоторые варианты данного вредоноса к тому же еще инфицируют HTML, ASP и PHP-файлы с целью самораспространения.


После установки Virut использует зашифрованные IRC-каналы для обмена данными с командным центром, что позволяет вирусописателям контролировать ботнет.


По данным, полученным Symantec в ходе исследования, размер ботнета Virut достигал 300 тыс. зараженных компьютеров.

Ранее Virut использовался для распространения ZeuS и спамбота Kehlios. Теперь же, согласно исследованиям Symantec, Virut используется для распространения Waledac, что в свою очередь может привести к возрождению ботнета Waledac, ликвидированного в 2010 году экспертами компании Microsoft.

Исследователь из Spamhaus Томас Моррисон (Thomas Morrison) сообщил, что разработчики Virut используют несколько десятков доменов, среди которых домены в зонах

  • .pl (Польша);
  • .ru (Россия);
  • .at (Австрия);

как часть своей C&C- инфраструктуры.

Блокирование трафика, генерируемого ботнетом Virut, было оперативно устранено совместной командой специалистов из Spamhaus, компании CERT (Polish Computer Emergency Response Team) и регистратором домена .pl.

Несколько доменов .pl, в том числе zief.pl и ircgalaxy.pl, использовались для размещения C&C-серверов Virut и другого вредоносного ПО (например, Palevo и ZeuS).

17 января 2013 года национальным польским регистратором было закрыто более 23 подобных доменов с целью защиты пользователей от угрозы, исходящей от Virut. Cерверы имен для этих доменов были изменены на sinkhole.cert.pl.

Кроме того, компанией Spamhaus в сотрудничестве с российской компанией Group-IB, занимающейся компьютерной безопасностью, были закрыты домены в зоне .ru.

Несмотря на то, что проделаны такие работы по уничтожению данного ботнета, часть C&C-инфраструктуры Virut все еще контролируется злоумышленниками. Например, домены в зоне .at все еще находится под контролем преступников.

Источник: http://it-sektor.ru/bor-ba-s-botnetom-virut.html